Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 840

NTLM Relay 攻击

审核人Cybersecurity entrepreneur & security researcher

NTLM Relay 攻击 是什么?

NTLM Relay 攻击一种中间人攻击 (MITRE T1557.001),攻击者将受害者的 NTLM 认证转发到另一服务,从而在不知密码的情况下冒充受害者。


NTLM Relay 攻击滥用了 NTLM 认证(MS-NLMP)的挑战-响应设计。攻击者诱导受害主机向攻击者控制的基础设施发起认证——通过 WebDAV、文件共享 UNC 路径或强制认证——然后把受害者的 NTLM 消息转发到一个目标服务,例如 LDAP、SMB、ADCS Web 注册或 MSSQL。目标完成挑战并以受害者身份授予访问权限。由于过程中没有恢复出任何明文密码或哈希,只有经过加密签名且绑定通道的协议才能阻止它。

其根本弱点在于 NTLM 认证并未与承载它的传输层绑定,因此对某一条连接有效的挑战-响应,对任何其他连接同样有效。微软花了十多年时间逐一修补具体的转发路径,而非修复该设计本身。**CVE-2019-1040(“Drop the MIC”)**让攻击者能够从 NTLM_AUTHENTICATE 消息中剥除消息完整性校验(MIC)字段,从而通过 ntlmrelayx --remove-mic 重新启用从 SMB 到 LDAP/LDAPS 的跨协议转发。强制认证向量层出不穷:PrinterBug(MS-RPRN)、PetitPotam(MS-EFSRPC,CVE-2021-36942,于 2021 年 8 月 10 日修补)以及 DFSCoerce 都能按需迫使指定主机——往往是域控——发起认证。将被强制的 DC 机器账户转发到 ADCS Web 注册(即 ESC8 技术)可获得一张以 DC 身份进行认证的证书,从而实现 DCSync 和完全接管整个域。

flowchart LR
  A[攻击者] -->|"1. 强制 / 投毒<br/>PetitPotam, PrinterBug, LLMNR"| V[受害主机]
  V -->|2. NTLM_NEGOTIATE| A
  A -->|3. 转发到目标| T[(目标: LDAP / SMB / ADCS)]
  T -->|4. 挑战| A
  A -->|5. 转发挑战| V
  V -->|6. NTLM_AUTHENTICATE| A
  A -->|7. 转发响应| T
  T -->|8. 以受害者身份授予访问| A

缓解措施:强制 SMB 签名,启用 LDAP 签名与通道绑定 / 认证扩展保护(EPA),在可行时禁用 NTLM,并修补各种强制认证向量(包括 2025 年的 SMB 客户端反射漏洞 CVE-2025-33073)。Impacket 的 ntlmrelayx 是标志性工具。

示例

  1. 01

    用 PetitPotam 强制域控制器认证,并将其 NTLM 转发到 ADCS 以获取 DC 证书。

  2. 02

    将工作站的 NTLMv2 转发至启用了 xp_cmdshell 的 MSSQL,实现远程代码执行。

常见问题

NTLM Relay 攻击 是什么?

一种中间人攻击 (MITRE T1557.001),攻击者将受害者的 NTLM 认证转发到另一服务,从而在不知密码的情况下冒充受害者。 它属于网络安全的 攻击与威胁 分类。

NTLM Relay 攻击 是什么意思?

一种中间人攻击 (MITRE T1557.001),攻击者将受害者的 NTLM 认证转发到另一服务,从而在不知密码的情况下冒充受害者。

如何防御 NTLM Relay 攻击?

针对 NTLM Relay 攻击 的防御通常结合技术控制与运营实践,详见上方完整定义。

NTLM Relay 攻击 还有哪些其他名称?

常见的别称包括: NTLM relaying, T1557.001。

相关术语

另见